专业金融公司(PFC)是一家应收账款管理机构,该公司在五月份通知医疗服务提供者,其190万名患者的数据在二月份的勒索软件攻击中遭到泄露。据PFC称,此次攻击中泄露的受保护健康信息(PHI)和个人身份信息(PII)可能包括姓名、联系方式、应收账款余额、账户支付信息、出生日期、社会保障号码、健康保险信息以及医疗治疗记录。
然而,PFC数据泄露事件仅是2022年迄今报告的第三大医疗业务合作伙伴安全事件。此前,Shields医疗集团事件影响了200万患者,而眼科护理领导者公司数据泄露事件则波及超过290万患者(且仍在持续增加)。
鉴于此类第三方数据泄露事件的规模和影响日益扩大,医疗保健安全与风险管理专业人员应如何减轻其影响?
1. 加入医疗保健提供者社区,共享业务合作伙伴风险情报
共享情报网络是按需供应商风险档案库,当您需要评估业务合作伙伴时可随时调用。这些风险档案基于行业标准内容构建,并通过持续更新的网络安全、商业运营、财务状况及声誉洞察实现定期自动更新,从而补充年度评估之间的信息缺口并提供情境化分析。
然而,共享情报网络的价值不仅在于利用已完成的风险档案评估业务伙伴的风险。这类网络还具备社区分析的附加优势——通过整合网络中多家供应商的数据,可直观呈现整个行业的宏观风险趋势。
例如,若某网络中供应商面临的首要风险是密码管理策略薄弱,您可将风险管理重点放在业务合作伙伴的密码安全规范上,主动降低黑客利用密码入侵其管理的数据系统的可能性。随后,您可借助集成式持续网络监控洞察验证业务合作伙伴的密码管理控制措施,以确定其密码是否在暗网中被出售。
普瑞瓦尔公司运营着医疗供应商网络(HVN),这是健康信息共享与分析中心(H-ISAC)专为第三方风险评估打造的解决方案,其依据行业标准的H-ISAC安全规范、数据隐私及风险评估体系构建。每日有数百家企业依托HVN中数千份已完成的供应商风险档案,有效管理其业务合作伙伴风险。
2. 制定并测试第三方事件响应计划
若网络安全事件影响到业务合作伙伴,您能否迅速理解其对自身业务的影响并启动应急响应计划?事件响应中时间至关重要,因此通过制定明确的应急响应计划采取更主动的措施,将缩短发现并缓解潜在业务伙伴问题的响应时间。系统化的第三方应急响应计划可包含:
- 集中管理的业务合作伙伴清单,包括其对组织的重要性
- 预先构建的业务韧性、连续性和安全评估,用于衡量事件的影响
- 评分和权重有助于关注最重要的风险
- 修复潜在漏洞的内置建议
- 针对特定利益相关方的报告,以回应董事会必然提出的请求
主流第三方事件响应服务通过集中管理第三方、自动化事件评估、识别风险评分以及获取修复指导,使您能够快速识别并减轻业务合作伙伴网络安全事件的影响。
3. 简化合规报告流程,以应对不可避免的审计
《健康保险流通与责任法案》(HIPAA)要求医疗机构确保业务合作伙伴及其他第三方实施安全与隐私管控措施,以防止未经授权的访问影响个人健康信息(PHI)的保密性、完整性或可用性。为此,企业在审计前应开展全面的供应商风险评估。即使贵机构未遭遇第三方安全事件,审计人员最终仍将评估贵机构的业务合作伙伴风险管理计划。
第三方风险管理解决方案可通过以下方式简化业务合作伙伴风险的收集与分析流程:
- 评估业务合作伙伴为合作关系带来的固有风险,有助于进一步缩小尽职调查的范围。
- 提供一份专用问卷,将回答映射至特定HIPAA要求
- 根据评估结果自动提升风险等级并进行风险评分,依据组织的风险承受能力确定优先级
- 包括内置的修复建议
- 为审计人员和内部利益相关者创建定制化的HIPAA报告,可视化呈现合规率及值得关注的改进领域。
请务必下载《HIPAA合规检查清单》,全面了解Prevalent第三方风险管理平台如何帮助简化HIPAA审计流程。
商业伙伴安全事件在所难免。但您可通过与同行共享风险情报、制定事件响应计划并为不可避免的审计做好准备,采取更主动的应对措施。立即申请演示,了解我们经H-ISAC认证的解决方案如何助您一臂之力。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
